本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS 访问您的账户的原因和时间
<a name="access-justification"></a>

在某些情况下，AMS Accelerate（加速）操作员可以访问您的账户控制台和实例，以管理您的资源。这些访问事件记录在您的 AWS CloudTrail (CloudTrail) 日志中。有关如何查看 AMS Accelerate 运营团队和 AMS Accelerate 自动化的账户活动的详细信息，请参阅[跟踪您的 AMS Accelerate 账户中的更改](acc-change-record.md)。

以下主题解释了 AMS 访问您的账户的原因、时间和方式。

## AMS 客户账户访问触发器
<a name="access-mgmt-triggers"></a>

AMS 客户账户访问活动由触发器驱动。今天的触发器是在我们的问题管理系统中为响应 Amazon CloudWatch (CloudWatch) 警报和事件以及您提交的事件报告或服务请求而创建的 AWS 票证。每次访问可能会执行多个服务呼叫和主机级别的活动。

下表列出了访问理由、触发器和触发器的启动者。


**访问触发器**  

<table>
<thead>
  <tr><th>访问</th><th>发起者</th><th>触发器</th></tr>
</thead>
<tbody>
  <tr><td>修补</td><td>AMS</td><td>补丁问题</td></tr>
  <tr><td>内部问题调查</td><td>AMS</td><td>问题问题（已确定为系统性问题）</td></tr>
  <tr><td>警报调查和补救</td><td>AMS</td><td>AWS Systems Manager 运营工作项目 (SSM OpsItems)</td></tr>
  <tr><td>事故调查和补救</td><td>You</td><td rowspan="2">入站支持案例（您提交的事件或服务请求）</td></tr>
  <tr><td>入库服务请求配送</td><td>You</td></tr>
</tbody>
</table>


## AMS 客户账户访问权限 IAM 角色
<a name="access-mgmt-iam-roles"></a>

AMS 运营商需要以下角色才能为您的账户提供服务。

**注意**  
AMS 访问角色允许 AMS 操作员访问您的资源以提供 AMS 功能（请参阅[服务描述](acc-sd.md)）。改变这些角色可能会抑制我们提供这些能力的能力。如果您需要更改 AMS 访问角色，请咨询您的云架构师。


**用于 AMS 访问客户账户的 IAM 角色**  

| 角色名称 | 说明 | 
| --- | --- | 
| ams-access-admin | 此角色对您的账户拥有完全的管理权限，不受任何限制。AMS 服务将此角色与限制性会话策略一起使用，这些策略限制了部署 AMS 基础设施和操作您的账户的访问权限。 | 
| ams-access-admin-operations | 此角色授予 AMS 操作员操作您账户的管理权限。此角色不授予对通常用作数据存储的服务（例如亚马逊简单存储服务、亚马逊关系数据库 AWS 服务、亚马逊 DynamoDB、Amazon Redshift 和亚马逊）中的客户内容的读取、写入或删除权限。 ElastiCache只有在访问管理方面具有深刻理解和背景的合格 AMS 操作员才能担任此角色。这些操作员充当访问管理问题的上报点，并访问您的帐户以解决 AMS 操作员的访问问题。 | 
| ams-access-management | 在入职期间手动部署。AMS Access 系统需要此角色来`ams-access-roles`管理和`ams-access-managed-policies`堆叠。 | 
| ams-access-operations | 此角色有权在您的账户中执行管理任务。此角色对通常用作数据存储的服务（例如亚马逊简单存储服务、亚马逊关系数据库 AWS 服务、亚马逊 DynamoDB、Amazon Redshift 和亚马逊）中的客户内容没有读取、写入或删除权限。 ElastiCache此角色还不包括执行 AWS Identity and Access Management 写入操作的权限。AMS Accelerate 运营人员和云架构师 (CAs) 可以担任此角色。 | 
| ams-access-read-only | 此角色对您的账户具有只读访问权限。AMS Accelerate 运营人员和云架构师 (CAs) 可以担任此角色。未授予对通常用作数据存储的 AWS 服务（例如 Amazon S3、Amazon RDS、DynamoDB、Amazon Redshift ElastiCache 和）中客户内容的读取权限。 | 
| ams-access-security-analyst | 此 AMS 安全角色有权在您的 AMS 账户中执行专门的安全警报监控和安全事件处理。只有极少数精选的 AMS Security 人员可以担任此角色。 | 
| ams-access-security-analyst-只读 | 此 AMS 安全角色仅限于您 AMS 账户中的只读权限，用于执行专门的安全警报监控和安全事件处理。 | 

**注意**  
这是 ams-access-management角色的模板。这是云架构师 (CAs) 在入职时在你的账户中手动部署的堆栈：management-role.yaml [。](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)  
这是不同访问级别的不同访问角色的模板： ams-access-read-only、、 ams-access-operations、:accelerate-roles ams-access-admin-operations. ams-access-admin js [on。](https://ams-account-access-templates.s3.amazonaws.com/ams-access-roles.template.json)